Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare un criterio utilizzando la console Google Cloud

Questa pagina fornisce istruzioni per configurare un criterio di Autorizzazione binaria utilizzando la console Google Cloud. In alternativa, puoi eseguire queste attività utilizzando Google Cloud CLI o API REST. Questo passaggio fa parte configurando Autorizzazione binaria.

Un criterio è un insieme di regole che regolano il deployment di una o più immagini container.

Prima di iniziare

Abilita Autorizzazione binaria.
Abilita Autorizzazione binaria per la tua piattaforma:
- Utenti di Google Kubernetes Engine (GKE): crea un cluster con Autorizzazione binaria abilitata.
- Utenti Cloud Run: Abilita Autorizzazione binaria sul tuo .
Se intendi utilizzare attestazioni, ti consigliamo di creare attendi prima di configurare . Puoi creare attestatori utilizzando la console Google Cloud o tramite uno strumento a riga di comando.
Seleziona l'ID per il progetto in cui hai abilitato Autorizzazione binaria.

Impostare la regola predefinita

Questa sezione riguarda GKE, i cluster GKE, Cloud Run Cloud Service Mesh.

Una regola è la parte di un criterio che definisce i vincoli che le immagini devono soddisfare prima di poterne eseguire il deployment. La regola predefinita definisce i vincoli che si applicano tutte le immagini container non esenti che non hanno e regole specifiche per il cluster. Ogni criterio ha una regola predefinita.

Per impostare la regola predefinita:

Nella console Google Cloud, vai alla pagina Autorizzazione binaria.

Vai alla pagina Autorizzazione binaria
Fai clic sulla scheda Norme.
Fai clic su Modifica criterio.
Imposta la modalità di valutazione per il valore predefinito personalizzata.

La modalità di valutazione specifica il tipo di vincolo di Autorizzazione binaria viene applicata al momento del deployment. Per impostare la modalità di valutazione, seleziona una delle le seguenti opzioni:
- Consenti tutte le immagini: consente il deployment di tutte le immagini.
- Nega tutte le immagini: non consente il deployment di tutte le immagini.
- Consenti solo le immagini approvate dai seguenti attestatori: Consente il deployment di un'immagine se questa ha una o più attestazioni che possono essere verificati da tutti gli attestatori aggiunti a questa regola. Per ulteriori informazioni sulla creazione di attestatori, consulta Creazione di attestatori.
Se hai selezionato Consenti solo le immagini approvate dai seguenti attestatori:
1. Ottieni il nome o l'ID risorsa dell'attestatore.
  
  Nella pagina Attestatori della console Google Cloud puoi visualizzare a quelli esistenti o crearne uno nuovo.
  
  Vai alla pagina degli attestatori di autorizzazione binaria
2. Fai clic su Aggiungi attestatori.
3. Seleziona una delle seguenti opzioni:
  - Aggiungi per nome progetto e attestatore
    
    Il progetto fa riferimento all'ID del progetto che archivia attestatori. Un esempio di nome di attestatore è build-qa.
  - Aggiungi per ID risorsa attestatore
    
    Un ID risorsa ha il formato:
```
projects/PROJECT_ID/attestors/ATTESTOR_NAME
```
4. In Attestatori, inserisci i valori appropriati per l'opzione. che hai selezionato.
5. Fai clic su Aggiungi un altro attestatore se vuoi aggiungere altri attestatori.
6. Fai clic su Aggiungi attestatori per salvare la regola.

Se vuoi abilitare la modalità dry run, esegui la seguenti:

Seleziona Modalità dry run.
Fai clic su Save Policy (Salva criterio).

Imposta regole specifiche per il cluster (facoltativo)

Questa sezione riguarda GKE, cluster GKE e Cloud Service Mesh.

Un criterio può anche avere una o più regole specifiche del cluster. Questo tipo di regola si applica alle immagini container di cui deve essere eseguito il deployment solo per cluster Google Kubernetes Engine (GKE). Le regole specifiche per i cluster sono una parte facoltativa di un criterio.

Aggiungi una regola specifica per il cluster (GKE)

Questa sezione riguarda GKE e cluster GKE.

Per aggiungere una regola specifica per un cluster GKE, esegui la seguenti:

Nella console Google Cloud, vai alla pagina Autorizzazione binaria.

Vai alla pagina Autorizzazione binaria
Fai clic sulla scheda Norme.
Fai clic su Modifica criterio.
Espandi la sezione Impostazioni aggiuntive per GKE e Deployment di GKE Enterprise.
Se non è impostato alcun tipo di regola specifica, fai clic su Crea regole specifiche.
1. Per selezionare il tipo di regola, fai clic su Tipo di regola specifica.
2. Per modificare il tipo di regola, fai clic su Cambia.
Fai clic su Aggiungi regola specifica.
Nel campo ID risorsa cluster, inserisci l'ID risorsa per il cluster.

L'ID risorsa per il cluster ha il formato LOCATION.NAME, ad esempio, us-central1-a.test-cluster.
Imposta la modalità di valutazione per il valore predefinito personalizzata.

La modalità di valutazione specifica il tipo di vincolo di Autorizzazione binaria viene applicata al momento del deployment. Per impostare la modalità di valutazione, seleziona una delle le seguenti opzioni:
- Consenti tutte le immagini: consente il deployment di tutte le immagini.
- Nega tutte le immagini: non consente il deployment di tutte le immagini.
- Consenti solo le immagini approvate dai seguenti attestatori: Consente il deployment di un'immagine se questa ha una o più attestazioni che possono essere verificati da tutti gli attestatori aggiunti a questa regola. Per ulteriori informazioni sulla creazione di attestatori, consulta Creazione di attestatori.
Se hai selezionato Consenti solo le immagini approvate dai seguenti attestatori:
1. Ottieni il nome o l'ID risorsa dell'attestatore.
  
  Nella pagina Attestatori della console Google Cloud puoi visualizzare a quelli esistenti o crearne uno nuovo.
  
  Vai alla pagina degli attestatori di autorizzazione binaria
2. Fai clic su Aggiungi attestatori.
3. Seleziona una delle seguenti opzioni:
  - Aggiungi per nome progetto e attestatore
    
    Il progetto fa riferimento all'ID del progetto che archivia attestatori. Un esempio di nome di attestatore è build-qa.
  - Aggiungi per ID risorsa attestatore
    
    Un ID risorsa ha il formato:
```
projects/PROJECT_ID/attestors/ATTESTOR_NAME
```
4. In Attestatori, inserisci i valori appropriati per l'opzione. che hai selezionato.
5. Fai clic su Aggiungi un altro attestatore se vuoi aggiungere altri attestatori.
6. Fai clic su Aggiungi attestatori per salvare la regola.
Fai clic su Aggiungi per aggiungere la regola specifica per il cluster.

Potresti visualizzare il messaggio "Sembra che questo cluster non esistono. Questa regola avrà comunque effetto se il cluster diventa disponibile in GKE nel futuro". In questo caso, fai di nuovo clic su Aggiungi per salvare personalizzata.
Se vuoi abilitare la modalità dry run, Seleziona Modalità dry run.
Fai clic su Save Policy (Salva criterio).

Aggiungi una regola specifica per il cluster (cluster GKE)

Questa sezione riguarda i cluster GKE.

Per aggiungere una regola specifica per un cluster GKE, esegui la seguenti:

Nella console Google Cloud, vai alla pagina Autorizzazione binaria.

Vai alla pagina Autorizzazione binaria
Fai clic sulla scheda Norme.
Fai clic su Modifica criterio.
Espandi la sezione Impostazioni aggiuntive per GKE e Deployment di GKE Enterprise.
Se non è impostato alcun tipo di regola specifica, fai clic su Crea regole specifiche.
1. Per selezionare il tipo di regola, fai clic su Tipo di regola specifica.
2. Per aggiornare il tipo di regola, fai clic su Modifica.
Fai clic su Aggiungi regola specifica.
Nel campo ID risorsa cluster, inserisci l'ID risorsa per il cluster.
- Per i cluster collegati a GKE GKE su AWS, il formato è CLUSTER_LOCATION.CLUSTER_NAME, ad esempio us-central1-a.test-cluster.
- Per Google Distributed Cloud e Google Distributed Cloud, il formato è FLEET_MEMBERSHIP_LOCATION.FLEET_MEMBERSHIP_ID, per ad esempio global.test-membership.
Imposta la modalità di valutazione per il valore predefinito personalizzata.

La modalità di valutazione specifica il tipo di vincolo di Autorizzazione binaria viene applicata al momento del deployment. Per impostare la modalità di valutazione, seleziona una delle le seguenti opzioni:
- Consenti tutte le immagini: consente il deployment di tutte le immagini.
- Nega tutte le immagini: non consente il deployment di tutte le immagini.
- Consenti solo le immagini approvate dai seguenti attestatori: Consente il deployment di un'immagine se questa ha una o più attestazioni che possono essere verificati da tutti gli attestatori aggiunti a questa regola. Per ulteriori informazioni sulla creazione di attestatori, consulta Creazione di attestatori.
Se hai selezionato Consenti solo le immagini approvate dai seguenti attestatori:
1. Ottieni il nome o l'ID risorsa dell'attestatore.
  
  Nella pagina Attestatori della console Google Cloud puoi visualizzare a quelli esistenti o crearne uno nuovo.
  
  Vai alla pagina degli attestatori di autorizzazione binaria
2. Fai clic su Aggiungi attestatori.
3. Seleziona una delle seguenti opzioni:
  - Aggiungi per nome progetto e attestatore
    
    Il progetto fa riferimento all'ID del progetto che archivia attestatori. Un esempio di nome di attestatore è build-qa.
  - Aggiungi per ID risorsa attestatore
    
    Un ID risorsa ha il formato:
```
projects/PROJECT_ID/attestors/ATTESTOR_NAME
```
4. In Attestatori, inserisci i valori appropriati per l'opzione. che hai selezionato.
5. Fai clic su Aggiungi un altro attestatore se vuoi aggiungere altri attestatori.
6. Fai clic su Aggiungi attestatori per salvare la regola.
Fai clic su Aggiungi per salvare la regola.

Potresti visualizzare il messaggio "Sembra che questa cluster inesistente. Questa regola continua ad avere effetto se il valore diventerà disponibile su GKE in futuro." In questo caso, fai clic su Aggiungi di nuovo per salvare la regola.
Se vuoi abilitare la modalità dry run, Seleziona Modalità dry run.
Fai clic su Save Policy (Salva criterio).

Aggiungi regole specifiche

Puoi creare regole con ambito a livello di identità di servizio mesh, un account di servizio Kubernetes o uno spazio dei nomi Kubernetes. Puoi aggiungere o modificare un regola specifica come segue:

Nella console Google Cloud, vai alla pagina Autorizzazione binaria.

Vai alla pagina Autorizzazione binaria
Fai clic sulla scheda Norme.
Fai clic su Modifica criterio.
Espandi la sezione Impostazioni aggiuntive per i deployment GKE e Anthos.
Se non è impostato alcun tipo di regola specifica, fai clic su Crea regole specifiche.
1. Fai clic su Tipo di regola specifica per selezionare il tipo di regola.
2. Fai clic su Modifica per aggiornare il tipo di regola.
Se esiste un tipo di regola specifico, è possibile modificarlo nel seguente modo: facendo clic su Modifica tipo.

Nota: puoi impostare un tipo di regola specifica per criterio. Se il tipo di regola viene modificato, le regole create per il tipo originale verranno eliminate quando viene salvata la pagina delle norme.
Per aggiungere una regola specifica, fai clic su Aggiungi regola specifica. In base tipo di regola scelto, inserire un ID, come segue:
- Identità servizio ASM: inserisci l'identità del servizio ASM, che ha il seguente formato: PROJECT_ID.svc.id.goog/ns/NAMESPACE/sa/SERVICE_ACCOUNT
- Account di servizio Kubernetes: inserisci il tuo account di servizio Kubernetes, che ha il seguente formato: NAMESPACE:SERVICE_ACCOUNT.
- Spazio dei nomi Kubernetes: inserisci lo spazio dei nomi Kubernetes, che ha lo seguente formato: NAMESPACE
Sostituisci quanto segue, come richiesto, a seconda del tipo di regola:
- PROJECT_ID: l'ID progetto in cui definisci di Kubernetes.
- NAMESPACE: lo spazio dei nomi Kubernetes.
- SERVICE_ACCOUNT: l'account di servizio.
Imposta la modalità di valutazione per il valore predefinito personalizzata.

La modalità di valutazione specifica il tipo di vincolo di Autorizzazione binaria viene applicata al momento del deployment. Per impostare la modalità di valutazione, seleziona una delle le seguenti opzioni:
- Consenti tutte le immagini: consente il deployment di tutte le immagini.
- Nega tutte le immagini: non consente il deployment di tutte le immagini.
- Consenti solo le immagini approvate dai seguenti attestatori: Consente il deployment di un'immagine se questa ha una o più attestazioni che possono essere verificati da tutti gli attestatori aggiunti a questa regola. Per ulteriori informazioni sulla creazione di attestatori, consulta Creazione di attestatori.
Se hai selezionato Consenti solo le immagini approvate dai seguenti attestatori:
1. Ottieni il nome o l'ID risorsa dell'attestatore.
  
  Nella pagina Attestatori della console Google Cloud puoi visualizzare a quelli esistenti o crearne uno nuovo.
  
  Vai alla pagina degli attestatori di autorizzazione binaria
2. Fai clic su Aggiungi attestatori.
3. Seleziona una delle seguenti opzioni:
  - Aggiungi per nome progetto e attestatore
    
    Il progetto fa riferimento all'ID del progetto che archivia attestatori. Un esempio di nome di attestatore è build-qa.
  - Aggiungi per ID risorsa attestatore
    
    Un ID risorsa ha il formato:
```
projects/PROJECT_ID/attestors/ATTESTOR_NAME
```
4. In Attestatori, inserisci i valori appropriati per l'opzione. che hai selezionato.
5. Fai clic su Aggiungi un altro attestatore se vuoi aggiungere altri attestatori.
6. Fai clic su Aggiungi attestatori per salvare la regola.
Fai clic su Modalità dry run per attivare modalità dry run
Fai clic su Aggiungi per salvare la regola specifica.
Fai clic su Save Policy (Salva criterio).

Gestisci immagini esenti

Questa sezione riguarda GKE, i cluster GKE, Cloud Run Cloud Service Mesh.

Un'immagine esente è un'immagine, specificata da un percorso, esente dalle regole dei criteri. Autorizzazione binaria consente sempre esente di cui eseguire il deployment.

Questo percorso può specificare una posizione in Container Registry o un'altra immagine container registro di sistema.

Cloud Run

Questa sezione riguarda Cloud Run.

Non puoi specificare direttamente i nomi delle immagini che contengono un tag. Ad esempio, non puoi specificare IMAGE_PATH:più recente.

Se vuoi indicare nomi immagine che contengono tag, devi specificare il nome utilizzando un carattere jolly, come segue:

* per tutte le versioni di una singola immagine; ad esempio us-docker.pkg.dev/myproject/container/hello@*
** per tutte le immagini in un progetto; ad esempio us-docker.pkg.dev/myproject/**

Puoi utilizzare i nomi dei percorsi per specificare un digest nel formato IMAGE_PATH@DIGEST.

Attiva il criterio di sistema

Questa sezione riguarda GKE e cluster GKE.

Attendi tutte le immagini di sistema fornite da Google è un'impostazione dei criteri che abilita i criteri del sistema di Autorizzazione binaria. Se questa impostazione viene abilitata al momento del deployment, Autorizzazione binaria esclude una un elenco di immagini di sistema gestite da Google che sono richieste di GKE da un'ulteriore valutazione dei criteri. Il criterio di sistema valutato prima di qualsiasi altra impostazione dei criteri.

Per attivare il criterio di sistema:

Vai alla pagina Autorizzazione binaria nella console Google Cloud.

Vai ad Autorizzazione binaria
Fai clic su Modifica criterio.
Espandi la sezione Impostazioni aggiuntive per i deployment GKE e Anthos.
Seleziona Attendi tutte le immagini di sistema fornite da Google nel sistema Google di esenzione per le immagini.

Per visualizzare le immagini esenti dal criterio di sistema, fai clic su Visualizza dettagli.

Nota: le informazioni sui criteri di sistema potrebbero differire temporaneamente da una regione a un'altra regione mentre Google aggiorna la lista consentita. L'elenco di immagini visualizzato fa parte dell'ultimo gruppo di regioni che è stato aggiornato. Poiché la maggior parte delle modifiche al criterio di sistema sono aggiunte, l'elenco mostra l'insieme immagini di sistema attualmente consentite in tutte le regioni. Puoi visualizzare il criterio di sistema per una regione specifica utilizzando un comando gcloud.
Per specificare manualmente altre immagini esenti, espandi la sezione Sezione Regole di esenzione personalizzate in Immagini esenti da questo criterio.

Quindi, fai clic su Aggiungi pattern immagine e inserisci il percorso del Registro di sistema su un'immagine aggiuntiva da escludere.
Fai clic su Save Policy (Salva criterio).

Passaggi successivi

Utilizza l'attestatore built-by-cloud-build per eseguire il deployment solo delle immagini create da Cloud Build (anteprima).
Utilizza le attestazioni.
Esegui il deployment di un'immagine GKE.
Visualizzare gli eventi di Cloud Audit Logs.
Utilizza la convalida continua.
Utilizza la convalida continua legacy (ritirato) per verificare la conformità alle norme.